红队打点之外网信息收集思路篇

免责声明

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

渗透测试流程

外网信息收集=>入口权限突破=>内网信息收集=>权限提升=>横线渗透=>权限维持=>痕迹清理

外网信息收集

一，为什么要进行信息收集

信息收集的本质是为了对目标的信息进行全面收集，并从整理后的信息中寻找出目标的突破口，撕开口子扩大影响，方便后续操作，信息收集的越多，对于我们后面的渗透测试成功率越高

二，常见入口权限突破方式

OA（金蝶，泛微，用友，致远，通达，蓝凌，禅道等）

开源CMS（骑士，狮子鱼，织梦，科讯，齐博，wordpress，xycms，bees等）

中间件（Apache，IIS，JBOSS，Nginx，Tomcat，weblogic等）

框架（Spring，Thinkphp，struts2，Fastjson等）

编辑器（ewebeditor， Ueditor，kindeditor， Fckeditor等）

文件上传+文件包含，SQL注入，弱口令，未授权访问，SSRF，redis，shiro，websphere，vpn，防火墙等

三，信息收集方式

主动收集 ：主动发送探测数据包与被测目标进行交互，从而获取目标信息

被动信息 ：在不与被测目标交互的情况下，通过第三方例如：百度，谷歌，企查查，fofa，GitHub等媒介对目标进行信息收集

四，常见信息收集方法

目录扫描

通过对网站目录进行扫描，从而寻找到出有价值的信息。例如：后台地址，文件上传页面，编辑器，.git文件，.svn文件，vim缓存，.sql文件，.rar，.tar，.swp，.bak，PHP探针，日志，robots.txt，未授权访问页面，铭感信息泄露，以及通过目录结构判断出使用的框架或者cms

常用工具：dirserch，7Kbscan，dirmap，御剑

子域名收集

通过对子域名的收集，扩大切入点范围。因为有时主站和子站是创建在同一台服务器上，而主站安全系数较高无法很快获取入口权限，则就可以通过防御较弱的子站入手

常用工具：oneforall，御剑，layer子域名挖掘机，SubDomainsBrute等

常用在线子域名收集网站：

 查子域：https://chaziyu.com/
 
 站长工具：https://viewdns.info/
 
 在线子域名查询：https://phpinfo.me/domain/
 
 在线二级子域名查询：http://tools.bugscaner.com/subdomain/

常用的测绘网站：

 鹰图：https://hunter.qianxin.com/
 
 FOFA：https://fofa.info/
 
 360空间测绘：https://quake.360.net/#/index
 
 Shodon：https://www.shodan.io/
 
 零零信安：https://0.zone/help

端口扫描

通过对网站全端口的扫描，能让我们对网站的服务以及数据库能有个简单判断，并且端口中，有些存在弱口令，未授权，命令执行漏洞等，同时有时也能够发现同ip下的利用端口建站的不同站点，从而增加快获取入口权限机会

常用工具：nmap，masscan，Rustscan，御剑

常用在线端口扫描网站：

 在线端口扫描器：http://duankou.wlphp.com/
 
 站长在线工具：http://www.all-tool.cn/Tools/portblast/
 
 MaTools：https://www.matools.com/port

CDN绕过

在我们日常的渗透过程中，总能发现许多网站为了用户更好的使用体验都纷纷为网站配置CDN，但对我们日常的渗透工作却带了一定麻烦，为了后续工作的正常进行，我们就得通过CDN的绕过，寻找出目标的真实IP

检测是否存在CDN

1. nslookup（出现多个IP即启用CDN服务

2. 各地ping（出现多个IP即启用CDN服务）

3. 修改本地host文件与域名绑定，使用域名浏览是否可以正常浏览网页

常用绕过思路

ping顶级域名、多地ping、国外解析域名、DNS 历史查询、查找子域名、反向连接、SSL证书、目标敏感文件泄露、域传送漏洞、利用HTTP标头寻找真实原始IP、利用网站返回的内容寻找真实原始IP、F5 LTM解码法

ping顶级域名：现实中同样一个网站可能存在有多个域名，例如www.xxx.com是二级域名，则xxx.com就是顶级域名，通过Ping命令分别这两个域名进行测试，对比IP地址信息，若该网站管理员没有给顶级域名配置CDN，通过这个突破点我们能够大概率获取到网站的真实IP

多地ping：通过超级ping的方式，观察全国中那个地区解析时间较长，那些IP存在重复，对比分析判断出目标服务器的真实IP

国外域名解析：大部分配置CDN的网站都只是对国内进行了部署，但没有对国外进行部署，从而我们可以选择使用外网的在线ping网站对该目标进行ping操作，从而能够解析出目标真实IP

DNS 历史查询：通过对DNS历史记录的查询能够从中大概率获取到网站的真实IP

反向连接：通过邮件服务（找回邮箱、或者是绑定邮箱）使其目标服务器反向链接自己的服务器资源，通过本地记录查找出目标IP（因为邮箱服务器ip地址可能就是主站IP地址）

查找子域名：现实中许多站点的主站与子站都建立在同一台服务器下，而出于成本的考虑都会只给主站配置CDN，所以我们可以通过对子站进行ping操作，就能大概率获取到网站的真实IP

SSL证书：通过查看SSL证书信息寻找出目标服务器真实IP

目标敏感文件泄露：例如网站泄露了phpinfo()文件，则可以从泄露的信息获取网站的真实IP

通过http头部信息来判断：如果网站可以提交信息，那么信息最终会被提交到真实的IP站点，真实的IP站点返回的http头部中就含了真实的IP地址，也可以根据http头部信息中的变动情况来判断出真实IP

通过查找cookie值并使用F5 LTM解码法：例如cookie值为BIGipServerpool_8.29_8030=487098378.24095.0000，把第一小节的十进制数487098378提取出来，再转十六进制，接着从后至前为0a.88.08.1d，转十进制数为10.136.8.29，即可得到最后的真实IP。

旁站查询

旁站是与被测目标在同一服务器上的不同网站，很多时候有些网站功能点少，不容易攻破。但是我们可以通过端口扫描或者目录扫描的方式发现，同服务器下其他站点，先拿下其他站点的webshell，然后再提权拿到服务器权限，最后就能拿到我想要的

C段查询

许多企业在办理宽带时，运营商为企业分配的IP往往都是连续的，所以我们可以通过被测目标的其他公网服务器进行横向到被测目标

常用在线C段查询网站：

 鹰图：https://hunter.qianxin.com/
 
 FOFA：https://fofa.info/toLogin
 
 360空间测绘：https://quake.360.net/#/index
 
 云溪：https://www.yunsee.cn/

CMS指纹识别

许多中小型网站使用的都是CMS或者基于CMS二次开发的内容管理系统，通过识别CMS可以对应利用已知公开漏洞进行验证测试，从而快速或者入口权限

常用工具：WhatWeb，CMSeek，Finger，wpscan，CMSmap，Ehole，御剑

常用CSM识别网站：

 潮汐指纹识别：http://finger.tidesec.net/
 
 云溪指纹识别：https://www.yunsee.cn/
 
 在线CMS批量识别：http://whatweb.bugscaner.com/batch.html

web容器类型及版本

web容器是一种服务程序，服务器的每一个端口就对应着一个提供相应服务的程序，而容器的作用就是处理客服端发出的请求，并且一个服务器可以有多个容器。通过识别出的容器及版本，可利用对应已知漏洞进行验证测试，从而快速或者入口权限

目前常见的web容器：IIS，Apache，Tomcat，Nginx，Jboss等

常用识别方式：

1.通过使其页面报错返回的页面信息判断

2.通过数据的返回包信息判断

3.利用插件wappalyzer进行查看

JS爬取

JS爬取可以让我们发现目标网站未授权访问和信息泄露文件等

常用JS爬取工具：JSFinder，爬行菜刀，F12

WAF识别

WAF是专门为保护基于web应用程序而设计的,不像传统的防火墙,是基于联网地址和端口号来监控和阻止数据包。通过对WAF的识别我们可以利用对应的绕WAF方法进行绕过，从而使得攻击能够正常执行

手工识别：

1.HTTP 请求包分析响应数据通过对网站的正常访问，查看响应的头部信息。例如在 X-Powered-By 内显示 “anyu.qianxin.com” 的标识，代表安装了奇安信安域 WAF

2.通过访问不存在的页面来分析页面访问一个不存在的二级页面，通过 404 页面显示的 LOGO 等信息来判断 WAF

3.请求恶意字符分析响应或敏感页面在一个正常的 URL 后面加入常见的恶意字符，比如 " and 1=1 "，让WAF对其进行拦截，从输出内容判断 WAF 。敏感页面原理相同，通常情况下 WAF 会为 phpinfo 等页面设置为阻断，如访问 phpinfo.php 页面

常用waf识别工具：wafw00f

whois信息

通过whois的查询，我们可以对目标站点的注册人，邮箱，电话等信息进行字典制作以及反查扩大信息收集范围，增大入口权限获取的成功几率

常用查询whois信息网址：

 站长之家：http://whois.chinaz.com/
 
 Bugscaner：http://whois.bugscaner.com/
 
 爱站网：http://whois.aizhan.com/
 
 阿里云：https://whois.aliyun.com/
 
 全球whois查询：https://whois365.com/cn/
 
 国外网站：https://who.is/

SSL/TLS证书查询

如果目标网站部署了SSL/TLS证书，那么证书会绑定相关IP地址，一旦网站安装了SSL证书，与服务器的通信就会加密，虽然这看上去很安全，但是在443端口上连接到IP时，SSL证书就会暴露

常用SSL/TLS证书查询网址：

 MySSL：https://myssl.com/
 
 CRT：https://crt.sh/
 
 CENSYS：https://censys.io/
 
 SSL工具：https://www.ssleye.com/ssltool/

服务器信息

操作系统

通过提前判断出服务器的操作系统，为后续的服务器提权提升，权限维持等作出选择

手工判断：

通过手动改变字母大小写进行操作类型判断，Linux系统大小写铭感，windows系统大小写不敏感

数据库类型

通过对端口的扫描，业务的需求，以及中间的识别综合判断出数据库的类型，为后续端口存在弱密码爆破掘或页面可能存在SQL注入做准备

​hack语法

利用hack语法结合Google，Shodan、fofa、zoomeye等搜索引擎搜索出泄露的网站源码，账号，密码，铭感信息文件，后台地址，子域名等

数据库信息泄露

 site:github.com  root password
 
 site:github.com  sa password
 
 site:github.com  User ID=’sa’;Password

svn信息泄露

 site:github.com  svn
 
 site:github.com  svn password
 
 site:github.com  svn username
 
 site:github.com  svn username password

数据库备份文件

 site:github.com  inurl:sql

综合信息泄露

 site:github.com  password
 
 site:github.com  ftp ftppassword
 
 site:github.com  密码
 
 site:github.com  内部

Github 信息收集

 https://github.com/michenriksen/gitrob
 
 https://securitytrails.com/blog/github-dorks

补充

除了上述信息以外，还有APP，小程序，公众号，以及公司及个人铭感信息也是我们收集的重点